Вразливість Fortinet FG-IR-19-283: ризик обходу 2FA

9400930f-477a-4d3f-8e44-d0dea9588021
d077e2d5-c83c-4df6-9a59-a721946419ba
56842275-452a-4bc4-b828-3a7685eaad6e
a1795d16-b1af-4fac-b2ee-3f1aa3999081
64212056-8764-4d1a-a462-10d11442d161
533c4f75-1af9-4730-be1c-3e3d3958a0cc

Безпечна інтеграція в майбутнє

Продукти та рішення
Клієнти
Партнери
Про компанію
CyberIN
Кар'єра
- Вакансії
- Наше життя
Контакти

Продукти та рішення
Клієнти
Партнери
Про компанію
CyberIN
Кар'єра
- Вакансії
- Наше життя
Контакти

9400930f-477a-4d3f-8e44-d0dea9588021
d077e2d5-c83c-4df6-9a59-a721946419ba
56842275-452a-4bc4-b828-3a7685eaad6e
a1795d16-b1af-4fac-b2ee-3f1aa3999081
64212056-8764-4d1a-a462-10d11442d161
533c4f75-1af9-4730-be1c-3e3d3958a0cc

Безпечна інтеграція в майбутнє

Коли вразливість стає інструментом атаки: як Fortinet фіксує повторне зловживання FG-IR-19-283

Майстер-клас: секрети випікання найсмачніших млинців!

09.03.2026

Неочевидні деталі конфігурації можуть мати серйозні наслідки для кібербезпеки. Нещодавно компанія Fortinet повідомила про випадки експлуатації вразливості, відомої як FG-IR-19-283 / CVE-2020-12812. Вона була опублікована ще у 2020 році, однак за певних умов може залишатися актуальною й сьогодні, якщо відповідні налаштування не були змінені. Йдеться про ситуації, коли користувач може пройти автентифікацію без двофакторного захисту, навіть якщо 2FA формально налаштована.

Суть проблеми та основні ризики для компаній

Уявіть: лише одна особливість налаштувань FortiGate може дозволити обійти двофакторну автентифікацію. Проблема виникає через різний підхід до обробки імен користувачів: FortiGate за замовчуванням розрізняє великі та малі літери, а LDAP-каталоги (Active Directory та подібні) зазвичай не зважають на регістр.
У певних конфігураціях ця різниця може призвести до неочікуваної поведінки системи автентифікації. Ризик з’являється, якщо в організації:
● використовуються локальні облікові записи FortiGate з увімкненою 2FA, пов’язані з LDAP;● ті самі користувачі входять до LDAP-груп, що застосовуються в політиках доступу (наприклад, для VPN або адміністративного доступу);● на FortiGate налаштовано декілька способів автентифікації, які можуть спрацьовувати як резервні.
У такому разі система може поводитися не так, як очікує адміністратор.

Як саме відбувається обхід 2FA

Якщо користувач входить, використовуючи точне написання імені (наприклад, jsmith), FortiGate коректно застосовує локальні налаштування і вимагає другий фактор автентифікації.
Але якщо вводити ім’я з іншим регістром літер (Jsmith, jSmith тощо), FortiGate може не розпізнати його як локального користувача з 2FA. У результаті система перевіряє інші дозволені сценарії входу і може провести автентифікацію через LDAP без застосування двофакторного захисту.
Це означає, що доступ до VPN або навіть адміністративних функцій може бути отриманий обхідним шляхом без додаткової перевірки.

Чому це небезпечно для бізнесу?

У разі успішного обходу 2FA користувач отримує доступ без додаткового захисту. На перший погляд може здаватися, що з системою все добре, але логіка її безпеки фактично порушена.
Якщо такі входи вже відбувалися раніше, облікові дані слід вважати скомпроментованими. У такій ситуації Fortinet рекомендує змінити всі облікові дані, включно з тими, що використовуються для LDAP або Active Directory.

Як захиститися: поради від Fortinet

Компанія усунула цю проблему ще у 2020 році, додавши спеціальні налаштування у FortiOS. Якщо вони не були застосовані, систему варто перевірити. Замовити Fortinet сьогодні можна цілком безпечно — актуальні версії не створюють загрози для бізнесу.
Ключова рекомендація — вимкнути чутливість до регістру в іменах користувачів. Тоді система сприйматиме всі варіанти написання імені як один обліковий запис і не переходитиме до альтернативних сценаріїв автентифікації.
Також важливо переглянути налаштування LDAP-груп: якщо резервні групи не потрібні, їх краще прибрати. Пам’ятайте: проста й прозора схема автентифікації знижує ймовірність неочікуваних збоїв у роботі системи.

Рекомендації від IT Specialist

Такі ситуації — типовий приклад того, чому регулярний аудит конфігурацій не менш важливий, ніж встановлення оновлень. Саме тому фахівці IT Specialist приділяють особливу увагу перевірці сценаріїв автентифікації та доступу.
У нас ви можете купити Fortinet (Київ) — ми підберемо найкращі рішення для вашого бізнесу. Звертайтеся для консультації, щоб дізнатися більше.

IT Specialist — безпечна інтеграція в майбутнє!

Матеріал підготовлено на основі статті Fortinet

68a43807-3805-4a79-a6e1-9620c7c46d4a
2e6f0532-ef60-4638-bf64-a1a4ed41a2b3
a6eb81eb-1bbf-428b-96d3-641e76f17876
2920fc4a-bd54-4f75-aec3-1efe2b18f532
bbe45721-f353-4640-b877-00a09a4c5b33
3f3fc320-19b8-4cdc-bf5c-02d5a3f7819a

Зателефонувати

Офіс+38 (044) 390 81 90

Департамент продажів+38 (096) 390 81 90

Написати

moc.tsilaicepsti-ym%40olleh

0b25938c-ba2d-4b47-91ff-b807b161d685
10765662-c519-46d7-9270-55e819763b8a
9223817d-9703-4883-a205-e42d5396737a

Приїхати на каву

Бізнес-центр Sigma,бульвар Вацлава Гавела, 6, корпус 3, Україна, Київ, 03124

68a43807-3805-4a79-a6e1-9620c7c46d4a
2e6f0532-ef60-4638-bf64-a1a4ed41a2b3
a6eb81eb-1bbf-428b-96d3-641e76f17876
2920fc4a-bd54-4f75-aec3-1efe2b18f532
bbe45721-f353-4640-b877-00a09a4c5b33
3f3fc320-19b8-4cdc-bf5c-02d5a3f7819a